Linuxの初心者の管理者とユーザーは、オペレーティングシステムが安全であると見なされていても、そのことを知っておく必要があります。, 考慮すべき多くの落とし穴と詳細があります. Linuxのセキュリティ デフォルトで存在する可能性がありますが、さまざまなディストリビューションが特定の機能を有効にすることを選択する場合があります。 “使いやすい” マシンをリスクにさらす可能性のある機能とプログラム. これが、認識されているものに対していくつかの疑問が生じる理由です。 治安状態. 私たちのQ&Linuxのセキュリティ問題が解決される最も一般的なケースシナリオのいくつかを紹介することを目的としています.
上 15 Linuxのセキュリティの質問に回答
1. Linuxでパスワードをリセットする方法?
ユーザーが既知のアカウント資格情報のないコンピューターを受け取った場合、またはそれらを忘れた場合は、パスワードのリセットが必要です。. 最も簡単な方法は、リカバリモードで起動することです, 選択したLinuxディストリビューションによっては、ブートメニューがそのようなオプションを提供する場合があります. コンピューターが唯一のオペレーティングシステムとしてLinuxを実行している場合、ユーザーは シフトキー メニューにアクセスするための起動中.
DebianおよびUbuntuベースのディストリビューションでは、リカバリメニューに入ると、オプションのリストが表示されます. ユーザーはを選択する必要があります “根” 管理者アカウントとしてシステムを入力するオプション. これにより、オペレーティングシステムのパーティションが効果的にマウントされます。 “読み取り専用” 権利. パスワードを変更するには、ユーザーは一連のコマンドに入力する必要があります.
- 次のように入力して、ファイルシステムを再マウントします マウント-orw,再マウント /
- オプション 入力することにより ls / home ユーザーは、ルートシステムアカウント以外のすべてのユーザーアカウントを一覧表示できます.
- Linuxユーザーのパスワードは、次のように入力することで変更できます。 passwdユーザー名. 交換 “ユーザー名” 要求されたアカウントで.
入力します 出口 コマンドシェルを終了してから、 “履歴書” オペレーティングシステムを起動するオプション.
Linuxのセキュリティに関するヒント: BIOSパスワードを使用して悪用を防ぐことができます.
2. ファイルのアクセス許可とは何ですか?それらを変更する方法?
グループの所有権に応じていくつかの異なるタイプのアクセス許可があるため、ファイルのアクセス許可を変更するのは難しい場合があります. 設定された権限を決定するには、コマンド ls -n に使える. すべてのファイルには、その説明が設定された形式でリストされています. サンプルファイルは次のことを示しています:
-rw-r–r– 1 1000 1000 129024 7月 28 10:21 Metadata.db
最初のセクションは “タイプ” 価値. この場合、これは空白です, オブジェクトがプレーンファイルであることを意味します. その他の場合には、次のタイプとその略語が含まれます: d (ディレクトリ), c (キャラクターデバイス), l (シンボリックリンク), p (名前付きパイプ), s (ソケット), b (ブロックデバイス), D (ドア) . 2行目は ユーザー権利, 第3 グループの権利 そして次 “その他” 権利. 3つの主要な権限があります: 読んだ (r), 書きます (w) 実行します (バツ).
権限はで変更できます chmod 事前定義されたモデルに従うことによるコマンド: chmod who=permissionsファイル名.
たとえば、というファイルに完全なユーザー権限を与えることができます “例”入力してファイル:
chmod u = xwr example.file
3. 終了する方法 (殺す) 実行中のプロセス?
Linux管理者は、 キルコマンド. 特定の信号をアプリケーションに送信するために使用されます. オペレーティングシステムで使用される一般的な信号はたくさんあります, それらのうちの3つは、終了に最も広く使用されています:
- SIGHUP (1) ‒この信号は、構成ファイルのリロード、およびログファイルのオープンまたはクローズに使用されます.
- SIGKILL (9) ‒このシグナルは、データを保存またはクリーニングせずにプロセスを強制終了するために使用されます.
- SIGTERM (15) ‒これはプロセスを強制終了するためのデフォルトで最も安全な方法です.
実行中のすべてのプロセスには、プロセス識別番号が割り当てられます (PID). 既知のプロセスのPIDを検出するには、ユーザーは pidoffコマンド, 例えば:
pidof firefox
それを殺すために、使用は使用することができます 殺す PIDを指定する:
殺す 3459
デフォルトでは、これはSIGTERMシグナルをFirefoxプロセスに送信します. rootユーザーは、他のユーザーやシステムレベルのユーザーによって開始されたプロセスを強制終了できることに注意してください. Linux固有のコマンド killall 名前でプロセスを強制終了するために使用できます, PIDクエリに頼らずに. 次のSIGTERMタイプでキルを開始するには:
killall -15 Firefox
4. SSHを使用してリモートログインする方法?
リモートコンピュータにアクセスする方法はいくつかあります. 使用できるさまざまなプロトコルがあります, ただし、業界標準はSSHです (セキュアシェル) プロトコル. 公開鍵暗号認証方式を使用して、ホスト間の通信を保護します. 正しく構成されている場合、man-in-the-middle攻撃やDNSスプーフィングから身を守ることができる安全な回線を提供します. SSHを使用すると、データの圧縮とX11を介したグラフィカルコマンドの送信が可能になります.
リモートホストに接続するには (192.168.100.1 例えば) コンピューターユーザーは、サーバーを定義する単一のオプションを使用してsshコマンドを入力できます: ssh 192.168.100.1. 明示的なユーザー名を指定するには (マーティン この例では) ユーザーは次のように入力してコマンドを変更できます: martin@192.168.100.1.
5. LinuxでIPtablesを使用してポートをブロックする方法?
Linuxセキュリティ管理者は、ポートへのアクセスを禁止することにより、特定のアプリケーションとサービスをブロックすることを選択できます. ポート番号システムは、基本的なセキュリティの概念の1つです。すべてのホステッドサービスは、特定のインターネットポートを使用してリソースを提供します。. 主な方法の1つは、IPtablesと対話することです, Linuxカーネルのユーザースペースアプリケーション部分. これには必要なことに注意してください 根 特権.
HTTPポートをブロックするコマンドの例 80 Webサーバーのセットアップに通常使用されるのは次のとおりです:
iptables -A INPUT -p tcp –宛先ポート 80 -jドロップ
テーブルを永続的に保存するには、次のコマンドを入力します:
iptables-保存
6. 実行中のネットワークサービスを確認する方法?
重要なセキュリティ原則の1つは、タスクの完了に必要な最小限の数のサービスのみを許可することです。. Linuxのコアセキュリティの概念は、潜在的なリスクに対抗するためのオープンサービスの最小化です。. を使用して netstat システム管理者が実行中のすべてのサービスとそのポートをプールできるコマンド. 最良の結果を得るには、次のオプションを指定してコマンドを起動します:
netstat -npl
7. Linuxで利用できるさまざまなセキュリティ拡張機能は何ですか?
Linuxでは、カーネルを拡張して、データとプロセスをより適切に処理する方法を使用するように拡張する、いくつかのセキュリティモジュールを使用できます。. これは、Linuxセキュリティモジュールを介して行われます (LSM) これは、いくつかの実装と互換性のあるオープンソースフレームワークです. 受け入れられるモジュールには、次のものが含まれます:
- SELinux ‒これはおそらく、オペレーティングシステムで使用される最も有名で最も広く使用されているセキュリティモジュールの1つです。. SELinuxの略 “セキュリティが強化されたLinux” アメリカ合衆国国防総省の基準に準拠するように特別に作成されました。. 強制アクセス制御 (マック) 強制される, このモジュールにはカーネル構成とユーザー空間ツールの両方が付属しています. SELinuxのコアコンセプトの1つは、セキュリティ決定の実施をポリシー自体から分離し、設定された命令をガイドするために使用されるソフトウェアの量を合理化しようとすることです。.
- AppArmor ‒これは、Linuxで利用できる最もよく知られているセキュリティモジュールの1つです。. AppArmorはの略です “アプリケーションアーマー”, システム管理者がプログラムごとのプロファイルでインストール済みアプリケーションを制限できるようにする拡張機能. 手順には、ネットワークアクセスの権限が含まれています, 生のソケットアクセス, 一致するパス上のファイルの読み取り/書き込み/実行. AppArmor には、違反が記録されるだけで防止されない学習モードも含まれています. 集めた情報をもとに, プログラムの典型的な動作に基づいて完全なプロファイルを作成できます.
- スマック ‒このモジュールのフルネームは “簡略化された強制アクセス制御カーネル”, データとプロセスを操作から保護するために使用されます. 実施される原則は、強制アクセス制御です。 (マック) 実装が簡単になるように設計されたルール. スマック自体は3つのコンポーネントで構成されています: カーネルモジュール, 起動スクリプト, 拡張ファイル属性を認識させる Gnu Core C ユーティリティへの一連のパッチ.
- TOMOYO Linux ‒ これは必須のアクセス制御です (マック) Linux システムにさらなる保護を追加する実装. 最初のバージョンは3月にリリースされました 2003, そして3月まで 2012, 株式会社NTTデータ様にご協賛いただきました. このモジュールの主な機能は次のとおりです。: システム全体の分析, MAC施行, ポリシー生成支援ツール, 単純な構文, 依存関係がほとんどない, 使いやすい設定ファイル. さらに, 既存のバイナリを変更する必要はありません. TOMOYO Linuxがアクティベートされている場合, モジュールは、割り当てられたリソースとすべての運用プロセスの動作の監視を自動的に開始し、潜在的なインシデントに効果的に対処します。.
- やま ‒ Yamaは、システム全体の随意アクセス制御を実施するLSM拡張機能です。 (DAC). これは、強化されたソリューションに共通のセキュリティ機能です. ヤマは、カーネルの通常の作業ではカバーされないイベントを監視することにより、システムのセキュリティを処理します.
選択したLinuxセキュリティモジュールに応じて、さまざまな方法でインストールおよび構成できます。. 配布固有の手順は、通常、それぞれのモジュールの公式Webページで入手できます。.
8. パスワードエージングを設定する方法?
システム管理者は、 チャゲ 指図. 必須のパスワードリセット間の日数を変更するために使用されます. システム全体の構成は、 /etc / login.defs ファイル . ドキュメントを編集することにより、ユーザーは次のパラメータを割り当てることができます:
- PASS_MAX_DAYS ‒パスワードを使用できる最大日数.
- PASS_MIN_DAYS ‒パスワード変更の間に許可される最小日数.
- PASS_WARN_AGE ‒パスワードの有効期限が切れるまでに警告が表示される日数.
The チャゲ 一部のシステムファイルを編集する代わりに、コマンドを使用してパスワード変更構成の変更を強制できます.
9. 一元化された認証サービスの使用方法?
中央認証サービスの使用 (CAS) 中央データベースに保存されている資格情報を提供した後、ユーザーがネットワークサービスにアクセスできるようにします. 構成に応じて、ユーザー名とパスワード、または別の種類の資格情報になる場合があります. ネットワークホストを操作する際の適切なLinuxセキュリティには、このようなソリューションの使用が必要です. CASプロバイダーを効果的に使用するには、適切なサービスを選択する必要があります. 一般的な実装の例には、ActiveDirectoryが含まれます, Apacheディレクトリサーバー, Red HatDirectoryServerなど. それらの間には大きな違いがあります, 構成と選択は、企業ネットワークの経験と要件を反映しています.
それらのすべては、と呼ばれる共通のプロトコルを使用します LDAP (Lightweighディレクトリアクセスプロトコル) これはX.500ディレクトリ情報サービスに基づいています.
10. Linuxシステムログとは何ですか?
選択したLinuxディストリビューションとインストールオプションに応じて、ロギングデーモンは、すべての重要なシステムイベントに関する重要なデータまたは詳細情報のみをログに記録する場合があります。. ログにはいくつかの種類があります:
- システムログ ‒このタイプのログには、オペレーティングシステム自体の機能に関する情報が含まれています. これにはシステムデーモンが含まれます, メッセージ, およびその他の重要なコンポーネント.
- 承認ログ ‒これらのログは、認証システムの使用状況を追跡します. 例には、プラガブル認証モジュールが含まれます (PAM) システム, sudoコマンド, sshd サービスへのリモート ログイン試行, その他. クエリを実行してアクセスできます /var / log / auth.log.
- デーモンログ ‒これらのログファイルはバックグラウンドで実行され、通常は人間の介入を必要としません. システムサービスは、データを /var / log / daemon. ログには、実行中のシステムサービスとアプリケーションデーモンに関する詳細情報が含まれています.
- デバッグログ ‒にあるログ /var / log / debug デバッグレベルのメッセージを提供するために使用されます.
- カーネルログ ‒Linuxカーネルは独自のメッセージをログに記録します /var / log / kern.log ファイル. これらは、ハードウェアまたはソフトウェアの問題をトラブルシューティングするときに役立つ場合があります.
- アプリケーションログ ‒多くのアプリケーションやサービスは、独自のログファイルを作成しようとしています。 /var / log ディレクトリ. 例には、HTTPWebサーバーが含まれます, CUPSプリントサービス, SAMBA SMB サーバーのログ, その他.
- その他のログ ‒他のすべてのタイプのサービスおよびアプリケーションもログファイルを作成できます. 特定のシステムメッセージを含む、人間が読めないログにはさまざまな種類があります, ログインレコード, ネットワーク統計, や。。など.
ほとんどのLinuxディストリビューションは システムロギングデーモン (syslogd) ファイルをログに記録するメインサービスとして. その構成ファイルは、 /etc / syslog.conf ファイル. システム管理者は、オプションでログローテーションアプリケーションをインストールできます. 最も広く使用されているものの1つは ログローテーション. インストールすると、ログを自動的に圧縮して最適化できます, 設定した間隔で削除するか、特定のアカウントに郵送します. ユーティリティの設定ファイルは、 /etc / logrotate.conf ファイル.
ログを読み取るためのより簡単なアプローチは、次のようなユーティリティを使用することです。 ログウォッチ また ログチェック. 関連するアプリケーションシステムを使用することにより、管理者は異常なイベントに関する詳細なレポートを取得できます. イベントの監視は、このようなアプリケーションを使用して自動化できる重要なLinuxセキュリティタスクの1つです。.
11. Linuxで自動更新を設定する方法?
すべてのサーバーまたはワークステーションコンピューターに自動セキュリティ更新を設定することをお勧めします. これが行われると、最も重要な更新をインストールするためにユーザーや管理者の介入は必要ありません. 使用する配布に応じて、ユーザーはパッケージ管理システムに関連する指示に従うことができます.
CentOS ユーザーおよびYUMパッケージマネージャーを使用するユーザーはインストールできます yum-cron 操作を自動化するために使用されます. デフォルトのインストールには含まれていないため、管理者はインストールする必要があります:
yum install -y yum-cron
次に、テキストエディタ (この場合、gedit) 必要な構成ファイルを編集するために使用できます:
env EDITOR ='gedit -w’ sudoedit /etc/yum/yum-cron.conf”
プロンプトでパスワードを入力してから、 apply_updates=いいえ フィールドに apply_updates = yes. 忘れないでください “保存” その後のファイル.
Fedora を使用します dnf-自動 いくつかの事前定義された操作モードに従ってパッケージマネージャーをカスタマイズするコマンド. を使用してインストールできます dnf 次のコマンドを発行してコマンドを実行します:
dnfinstalldnf-自動
その後、rootユーザーは構成ファイルを変更できます:
env EDITOR ='gedit -w’ sudoedit /etc/dnf/automatic.conf
設定する必要がある3つの重要なフィールドがあります:
- upgrade_type ‒これは、どの更新が自動的に更新されるかを制御するフィールドです。. ユーザーはから選択できます 安全 (セキュリティ関連のもののみ) また デフォルト (全て).
- download_updates ‒このフィールドは、更新をローカルパッケージキャッシュにダウンロードする必要があるかどうかを示します.
- 放出する ‒このフィールドは、更新イベントをユーザーに通知する方法を示します. デフォルトの動作では、それらがsystemdジャーナルに記録されます. これは、管理者が電子メールメッセージまたはスクリプトに変更できます.
すべての設定が完了したら, このコマンドを発行すると、設定を保存できます:
systemctl enable dnf-automatic.timer && systemctl start dnf-automatic.timer
Debian と Ubuntu システムは 無人アップグレード
パッケージ, 次のコマンドを発行してインストールします:
sudo aptinstallunattended-アップグレード 為に Ubuntu また:
apt-get installunattended-upgrades ルートとして Debian.
メイン設定ファイル etc / apt / apt.conf.d /50unattended-upgrades 選択したテキストエディタで編集できます. 使用できます gedit sudoを使用するか、次のコマンドを入力してrootとして発行します:
(sudo) gedit /etc/apt/apt.conf.d/50unattended-upgrades
セキュリティアップデートを有効にするには、それに応じてファイルを編集します:
無人-アップグレード::許可-起源 {
“${distro_id}:${distro_codename}”;
“${distro_id}:${distro_codename}-安全”;
// “${distro_id}:${distro_codename}-更新”;
// “${distro_id}:${distro_codename}-提案”;
// “${distro_id}:${distro_codename}-バックポート”;
};
更新を有効にするには、 /etc / apt / apt.conf.d / 20auto-upgrades :
(sudo) gedit /etc/apt/apt.conf.d/20auto-upgrades
次のオプションで:
APT::定期的::更新-パッケージ-リスト “1”;
APT::定期的::ダウンロード-アップグレード可能-パッケージ “1”;
APT::定期的::AutocleanInterval “7”;
APT::定期的::無人-アップグレード “1”;
結果の更新はに記録されます /var / log/unattended-アップグレード ファイル. Linuxのセキュリティは、ソフトウェアの更新を非常に深刻に扱います。新しいバージョンは通常、見つかった脆弱性を修正するためです。. パッチを適用することにより、システム管理者は侵入の可能性からマシンを保護できます.
12. 制限付きユーザーアカウントを追加する方法?
コンピューターのサービスへのアクセスは、専用のユーザーアカウントを使用して行うことができます. 多くの場合、限られたユーザーアカウントを使用して特定のサービスやプログラムにアクセスできます. 適切なLinuxセキュリティは適切に管理されたコンピュータにかかっています. 設定するには、さまざまなコマンドを使用できます, 選択した分布に応じて.
RedHatをベースにしたもの (CentOS, Fedoraなど) 使用できます useradd 与えられた構文に従うことによるコマンド:
useradd example_user && passwd example_user
交換してください example_user 適切な文字列を選択するには、目的のユーザー名とパスワードフィールドを使用します.
sudoコマンドを使用して管理者権限を取得し、rootユーザーに変更できるようにする場合は、ユーザーをに追加できます。 車輪 次のコマンドを発行してグループ化します:
usermod -aG Wheel example_user
DebianおよびUbuntuベースのディストリビューションは ユーザーを追加する これらのコマンドを発行することによって:
adduser example_user
使用したい場合 sudo 関連するグループにユーザーを追加する必要があるコマンド:
adduser example_user sudo
ノート: デフォルトでは、DebianLinuxディストリビューションはsudoを使用しません. 手動で設定する必要があります.
13. GPGでファイルを暗号化する方法?
ユーザーはを使用できます GnuPG (Gnuプライバシーガード) ファイルを保護するために公開鍵暗号と秘密鍵暗号のハイブリッド暗号化サービスを採用する. GPG (GnuPGの略) は最も広く使用されている実装の1つであり、電子メールクライアントなどのアプリケーションで使用できます。, 拡張機能, インスタントメッセージングアプリなど. これは、すべてのLinuxセキュリティ設定計画の重要なコンポーネントと広く見なされています. 開始するには、ユーザーは独自の公開鍵と秘密鍵のペアを生成する必要があります.
使用 gpg –gen-key プロンプトに従います. これが完了すると、-decryptおよび-encryptオプションを使用して目的の名前を変更できます.
gpg –example.fileを暗号化する
これにより、拡張子が.gpgのファイルが新しく作成されます。 (example.file.gpg). 復号化するには、 –decrpyptオプション:
gpg –example.file.gpgを復号化する
14. ルートキット感染をチェックする方法?
ルートキットは、多くのセキュリティ問題を引き起こすために使用できる高度なタイプのマルウェアです。. 多くの場合、一部のサンプルはウイルス対策会社によって検出できず、ここで特別なスパイウェア対策ツールが使用されます. Linuxの場合、最も人気のあるオプションの1つは rkhunter これは、ディストリビューションのパッケージ管理の指示に従って、ソフトウェアリポジトリからインストールできます。.
UbuntuとDebianのユーザーは (sudo) apt-get install rkhunter RedHatベースのディストリビューションはyumまたはdnfのいずれかを使用できます。.
インストールしたら、rootユーザーとして実行して、最大の権限を取得する必要があります. 次のコマンドで実行して、初めて開始します:
rkhunter –支柱
rkhunter –アップデート
そこから、を使用してアクティブ化できます rkhunter –小切手 ローカルシステムの分析をトリガーするコマンド. Linuxの適切なセキュリティは、あらゆる種類の侵入に対する定期的なチェックにかかっています。.
15. ClamAVアンチウイルスをインストールして使用する方法?
使用を開始するには、最初にターゲットコンピューターにインストールする必要があります. の上 DebianとUbuntu システムこれは、発行することによって行うことができます (sudo) apt-get install clamav 指図. 他のシステムの場合は、同等のパッケージマネージャーを使用してください (いつもの ヤム また dnf). ClamAVは、バックグラウンドで実行されているサービスとして実行することもできます. 正確なコマンドは、ディストリビューションのinitシステムとタイプによって異なります。.
CentOSユーザーは、アプリケーションをインストールする前に、EnterpriseLinuxリポジトリ用の追加パッケージをインストールする必要があります:
yum install -y epel-release
yum install -y clamav
Fedoraユーザーはアップデートパッケージをインストールすることもできます:
yum install -y clamav clamav-update
コマンドラインアプリケーションを実行して、利用可能なすべてのファイルをバックグラウンドでスキャンし、次のように入力して見つかった場合にのみ、感染したファイルを表示することをお勧めします。:
clamscan -r -i / &
Linuxのセキュリティに関しては、他のクライアントが使用するサーバーで少なくとも1つのウイルス対策ソリューションを利用できるようにすることが不可欠です。. Windowsウイルスはホストシステムに影響を与えることができない場合がありますが、他のコンピュータユーザーに感染する可能性があります. ClamAVまたは他の製品を使用すると、このようなインシデントを効果的に防ぐことができます.
これらのLinuxセキュリティのヒントとガイドは、マシンを安全にするために必要なすべての調整のごく一部を示しています。. 考えられるすべてのリスクから保護できるわけではありませんが、セキュリティ対策をさらに発展させるための優れた基盤を提供します。.
いつものように, お気軽にコメントしてご質問ください, 喜んでお手伝いさせていただきます!
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: